Fancy Bear (APT28) APT IOCs - Part 2

security IOC

Исследователи Cluster25 собрали и проанализировали документ-приманку, используемый для внедрения варианта вредоносного ПО Graphite, уникально связанного с угрозой, известной как APT28 (она же Fancy Bear, TSAR Team). Документ-приманка представляет собой файл PowerPoint, который эксплуатирует технику выполнения кода, предназначенного для запуска, когда пользователь запускает режим презентации и перемещает мышь. Выполнение кода запускает сценарий PowerShell, который загружает и выполняет дроппер из OneDrive. Последний загружает полезную нагрузку, которая извлекает и внедряет в себя новый PE (Portable Executable) файл, который, как показал анализ, является вариантом семейства вредоносных программ, известного как Graphite, использующего Microsoft Graph API и OneDrive для связи C&C.

Согласно метаданным приманки, злоумышленники использовали шаблон, потенциально связанный с Организацией экономического сотрудничества и развития (ОЭСР). Эта организация работает совместно с правительствами, политиками и гражданами с целью установления международных стандартов, основанных на фактах, и поиска решений ряда социальных, экономических и экологических проблем. Это файл PowerPoint (PPT), содержащий два слайда с одинаковым содержанием, первый из которых написан на английском языке, а второй - на французском. В документе представлены инструкции по использованию опции "Интерпретация", доступной в программе Zoom.

Данный PowerPoint эксплуатирует технику выполнения кода, которая запускается при использовании гиперссылок вместо Run Program / Macro, которые предназначены для запуска, когда пользователь запускает режим презентации и перемещает мышь. Выполняемый код представляет собой сценарий PowerShell, показанный ниже, который запускается через утилиту SyncAppvPublishingServer и выполняет загрузку файла из OneDrive с расширением JPEG (DSC0002.jpeg). Это, в свою очередь, DLL-файл, который позже расшифровывается и записывается в локальный путь C:\ProgramData\lmapi2.dll.

Fancy Bear (APT28) APT IOCs

Indicators of Compromise

Domains

  • 9b5uja.am.files.1drv.com
  • kdmzlw.am.files.1drv.com

URLs

  • https://kdmzlw.am.files.1drv.com/y4mv4glUgvW9nl8z8GU71PhPw0oRtve9QpZ0pEgwJN1q_TlGY5yl5Mvkrc5rUh0Uxxknlr1qymWyCbPrkKOFgL4CARScSn9UMhq3c5hSNOQsDOamYLmOfN61lUtQO10vxtn0I7QROJdOtQ42wDsaiACGR5ZrmYwt0SmZkphGWQpT2gOFrsUxjg8_7QT01VTABiGr3T6xpWrTmFT5yu4toQ/DSC0001.jpeg?download"
  • https://9b5uja.am.files.1drv.com/y4mpYJ245I931DUGr7BV-dwLD7SReTqFr1N7eQOKSH_ug2G18Jd6i3SRqYqgugj3FA2JQQ7JqclvWH13Br3B5Ux-F6QcqADr-FowC_9PZi1Aj7uckcK8Uix_7ja1tF6C_8-5xYgm6zwjbXsrlEcTEenAyA8BzEaGPudutl1wMDkzVr6Wmn8_qRmYejLgbNoQmPTUe3P5NKFFLRjeeU_JhvA/DSC0002.jpeg?download

MD5

  • 2ff3e6c9244ef965295aa60879d1aa6b
  • 9a915313d02345e149e6ba566fe85c47
  • c0060c0741833af67121390922c44f91
  • ef1288de782e65d6e5bd6a327157988f

SHA1

  • 4c813ad68f2f1da6b2c59d11ad983cfa65e1a187
  • 622eb93e34445c752eeaa623ef9ac6978e58f2fc
  • 9cd7f14d85814c48be3fbf73891415978a7aa882
  • a23efb6aa5a242c61c5d50a967a8f29da164c954

SHA256

  • 34aca02d3a4665f63fddb354551b5eff5a7e8877032ddda6db4f5c42452885ad
  • be180a7c43734b7125b2d5cea7edd0174811a58113b048f5fe687db52db47fe3
  • d1bceccf5d2b900a6b601c612346fdb3fa5bb0e2faeefcac3f9c29dc1d74838d
  • efa5b49bdd086125b2b7d4058d09566f1db5f183c2a6332c597322f85107667a

Snort Rules

SEC-1275-1
Добавить комментарий